Articles

資安…

In 自言自語 on 2007/10/02 by jasoneci

資安
 
Araon 邀我參加他公司在君悅(凱悅)飯店辦的 seminar,主題為「資訊安全」。到場同桌的幾乎都是以前的同事,現在分散在不同企業,但還都在金融業就是了…   也有以前在銀行公會資安工作小組的「主任秘書」與「執行秘書」(我自己幫他們冠的職銜啦)…   都有一段時間沒見面了耶!
 
Araon 是簡報中比較重的部份,看著他做簡報,心中浮現出的是 5 年前第一次看到他的簡報情景…    今日的他已非吳下阿蒙了!
 
第一次見面,是報到那天,在人事部完成手續後,見了老闆,直接被帶到老闆辦公室隔壁的會議室,Araon 正在作 LDAP 的目錄服務專案簡報。一群主管虎視眈眈之下,Araon 只有在技術說明方面的表現還看得過去,但整個簡報不知所云,尤其是老闆進來之後,Araon 真的是整個垮掉…   老闆痛罵了一頓,整個會議幾乎是在腰斬的情況下草草結束,簡報後我才知道他是我部門的…   接下來,我被老闆痛罵了兩年,照三餐罵…   而 Araon 則被我痛罵了兩年…   兩個人都跟路邊落難的小狗沒差太遠!
 
Araon 有明顯的「層峰恐懼症」!即使我老闆擺明和顏悅色,他還是會緊張到漲紅了臉,連話都會講不清楚…   最嚴重的,是明明事前演練被問到 A 要答 B,他就是會臨場給你答 C,令人傻眼。不像我是想正經都很難,老闆已經火冒三丈,罵到口乾舌燥了,我還會笑場!「你還笑得出來啊?!」…   啊我就是會笑出來嘛,有什麼辦法!其他的主管們很重視我的存在,因為:「Jayson 一個人吃下老闆一半的痛罵,其他的主管日子就過得輕鬆多了!」、「罵完 Jayson,老闆就沒精神再罵我們了!」…   哈哈,有這種服務大家的機會,雖然有點離譜,但也是挺值得自豪的啦!
 
扯遠了,Araon 在外面經過這麼一段時間的磨練,邏輯也通順了、簡報也切題了、演講也穩定了…   不會再有荒腔走板的演出,其實看著他一路走過來,到今日的成果,我應該算是最有感觸的人了!Araon 加油!
 
資安這條路,難走!原因不複雜:資訊安全做到最好,就是「什麼事都沒發生」…  更超越顛峰的境界,則是「雖然我什麼事都沒發生,但是別人都掛掉了!」。
 
問題是…
 
要我掏那麼多錢出來,只為了「什麼都不會發生」的結局?!那…   那你一定是瘋了!我告訴你,數字會說話,不像你們這些搞資安的,老是空口說白話,威脅帶恐嚇!你當我是被嚇大的啊?給我拿數字出來說明…
 
這種雞生蛋、蛋生雞的問題,有時很難轉圜,因為光是要能得拿出數字,就得先掏錢出來!即使你真的有幸把數字給拿出來呈堂證供了,在 priority 上也未必能佔得到便宜,因為:「錢要花在刀口上,這個原則大家都能接受吧?有問題我們再看看該怎麼處理比較妥善…   要不然我要你幹嘛?」
 
Priority 的邏輯並不複雜:compliance 相關的高、賺錢的高、省錢的中、productivity 相關的中、其他的低。資安…   不偏不倚地剛好就在「低」的那塊區域,除非公司高階主管了解資安的重要性與嚴重性,否則鹹魚翻到哪裡都還是鹹魚!哈哈!
 
那麼到底台灣的金融機構網站有沒有處於砲火下咧?還是搞資安的人怕丟了工作,所以在那邊無病呻吟窮炒作,藉以維持其重要性呢?
 
三年前,我服務的前一家公司,就在軟體廠商的遊說之下,在防火牆上安裝了以 Honeypot (蜜罐)模式為架構基礎的 IDS / IPS 測試系統(Intrusion Detect System / Intrusion Prevention System,入侵偵測 / 防止系統),目的在於證明資訊安全遭受外來威脅一說,絕非空穴來風。
 
別以為這是很簡單的事哦,安裝測試系統,得:
 
  • 先上簽呈把測試目的、範圍、時程、風險評估與預期成效說清楚,取得主管同意,光是會各相關部門要求支援就得會個半死,法務還要看過相關的測試合約條款咧。
  • 找到一台空在那裡,但效能不差的伺服器,否則插上防火牆整個系統 performance 掉下來,你就死定了…    問題是效能不差的伺服器會空在那裡等你用兩個星期嗎?有時還得請來往關係良好的廠商幫忙調一台借用咧!
  • 與廠商簽訂測試合約,言明測試過程結果與嗣後的採購作業無關…   有的不上道廠商真的是用免費測試來引人上鉤的,在報價單上寫三星期機器還沒退回去,「視同採購」,發票就開過來了…   這是走投無路的廠商不擇手段的花招,但是因為這種一廂情願的玩法完全不符合採購作業程序,所以 eventually 公司內部人員會遭懲處,而廠商則會被列為拒絕往來戶!
  • 開始測試、結束測試、系統回復、軟體解除安裝、硬體歸還…   這些算簡單的。測試結果、評估報告牽涉的比較廣,比較複雜!
 
有點扯遠,但無妨,還是相關!
 
兩週  Honeypot 測試的結果,有點令人傻眼,確認攻擊事件平均每日超過 10 件!
 
所謂確認攻擊事件,指的是「天堂有路你不走,地獄無門闖進來!」的那種行為模式!明明網站的程式與網頁設計是指引你從大門進來參觀,但就是有人不走大門,在圍牆外面到處敲敲看能否找得到圍牆的缺口,或是丟石頭到牆上測試看看有沒有窗口可以爬進來…   你騙他牆上有個窗口,他還會想盡辦法從那個不存在的窗口爬進來。
 
所以,就所能看到的實體證據而言,台灣的網路銀行實際上是處於遭受攻擊的情況的…   不過,只有資訊安全廠商會嚷嚷這種事,而他們沒有實際的數據。遭受攻擊時,金融機構怕影響商譽,會閉嘴;主管機關怕會引起不必要的恐慌,也會低調行事。只有被狗仔莫名奇妙地掀出來、破案或有人發現受害時,這種事才會見報,然後咧,金融機構安全有漏洞,自然又成為大夥ㄦ注目的焦點新聞了!多半的狀況,被害金融機構未必會知道自己已經被害!因為:
 
  • 系統事件記錄得太多,會造成系統容量不足,而且運作效能也會大打折扣。
  • 系統記錄事件,總要有人看吧?記得越多,浪費的人力就越多…
 
所以這些浪費公司資源的舉動,能省則省!而且…   「我們系統都跑了那麼多年了啦,沒發生過這種事啊…   真的發生了…   嗯,再看看你們怎麼處理啊!」。再談下去,你一定會聽到類似「要不然要你們幹嘛?」或是「危機就是轉機」之類的 BS!
 
從 IP 位址來看,這種「跟你走正門的是狗」的人士,位於台灣與大陸居多,可見中國人,是… 嗯,是聰明的一群!
 
這些「壞份子」是不是歹徒?倒也未必!真正的歹徒為了躲避追殺,多半繞圈子從國外 IP 入侵,追查時要費相當功夫,可以讓他們有充分時間逃逸。國內的 hacker,很多是電腦系統技術一流,而人際關係相對三流的電腦狂熱份子。電腦遊戲…   就是遊戲而已啦,什麼東西嘛…   人類原始獸性的發揮而已!真正具有挑戰性的是各大公司活生生的電腦及網路系統,網際網路是現成的戰場,主要武器是腦力、知識、技術、與一大堆的書,破關的標準自訂,但通常不低,例如掌控整台內部伺服器,或是撈走整個資料庫,破關帶來的成就才是一流的快感…   與以前江湖上的俠客到處找人比劍類似,失去了對象,就失去了人生!
 
話說回來,既然這麼重要而殘酷的 reality 都已經透過數據給揭露出來了,老闆們是否同意設置這種 Honeypot 的 IDS / IPS 防範機制?
 
「雖然攻擊事件看來是的確存在的,但是咱們的防火牆似乎也已經足以維持系統的安全了嘛?這樣好了,我們看看出什麼狀況,再根據狀況評估該怎麼佈署系統安全機制,這樣比較恰當…」
 
結論是「不到黃河不死心,不見棺材不掉淚!」,我的老闆也為之氣結…  
 
其實,這樣的結果充分而清楚地闡述了資安的標準運作模式應該要像衝浪一樣。
 
  • 人還沒划到起浪點前,閉上鳥嘴乖乖地划。
  • 浪還沒衝到起浪點前,閉上鳥嘴乖乖地等。
  • 浪頭來了千萬別放過,而且要大聲嚷嚷,讓大家都知道浪頭來了…   而且這是你的秀。
  • 上了浪,別自以為你一定會有令人刮目相看的表現,也別認為所有的人都會看到你光采的那一刻!
 
重點是,浪來時,你千萬要已經等在起浪點了!如果你還沒 ready,那就等著被浪打吧!
 
台灣到底有沒有超級駭客之流的人物存在啊?就我的了解…  有的!他們人不起眼,但絕頂聰明,一眼或許看不出來,但上了網路…   沒有什麼是他們幹不出來的!他們不太幹入侵與破解之外的勾當,偷搶拐騙這些東西在他們的觀念中是犯法的,但進入別人的系統…   不算!系統有漏洞,是設計系統的人,或負責維護系統的人沒做好該做的事…   從某個角度來看,我完全同意!
 
我就認識這麼一號人物,是個東歐某個很小國家的年輕小伙子,人很和氣,很可愛,有點龐克,身上有很多的 piercing ,這裡不提他的名字,免得惹出麻煩來。這傢伙來台灣三個月,就能用中文與我聊天!他的最愛,是中國文化,他畫國畫,也寫毛筆字…   他開了個網站,把他的作品全給放了上去…   有聲有色的!除了長相,他比我還中化!
 
在公司進行 penetration testing 時,不誇張,I 公司 mainframe 系統的 TCP/IP 完全不堪一擊,不到 10 分鐘系統就掛了,後來上了些 PTF/APAR 才解決已經確定是問題的問題…   所以主機系統的 TCP/IP 介面到目前,還都只有直接連線的部份開放,其他的部份介面關閉。開放系統更別談…   讓他坐在電腦前,幾個小時下來,他列出了一堆能讓他進入系統的 privileged ID,還加上這些 ID 的密碼,甚至有些 Oracle 資料庫的 privileged ID 是沒有密碼的…   他也常受邀到 hacker forum 去發表演講…    這種人,台灣就有!而且他不開口,你還真會以為這渾小子八成是不懂電腦的傻蛋!
 
其他的…   哈哈,等我離開這個領域再說!
 

 
廣告

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com Logo

您的留言將使用 WordPress.com 帳號。 登出 / 變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 / 變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 / 變更 )

Google+ photo

您的留言將使用 Google+ 帳號。 登出 / 變更 )

連結到 %s

%d 位部落客按了讚: